Brengt uw fitnesstracker uw veiligheid in gevaar?

Advertentie

Overwegen waar onze gegevens uit gaan lekken, is een moeilijke taak. We nemen de nodige voorzorgsmaatregelen op al onze apparaten, installeren antivirussoftware, voeren malwarescans uit en hopelijk controleren we dubbele en drievoudige e-mails op verdachte zaken. Dit zijn slechts enkele van de mogelijke aanvalsvectoren die op ons wachten.

Beveiligingsonderzoekers hebben onthuld dat, afgezien van onze "gewone" apparaten, een van de nieuwste vormen van technologie kan aanvallers een onverwachte maar gemakkelijk toegankelijke invalshoek bieden om onze te stelen persoonlijke gegevens. Fitness-trackers zijn onlangs in de schijnwerpers gekomen nadat een technisch rapport een reeks van ernstige beveiligingsfouten in hun ontwerpen, waardoor potentiële aanvallers theoretisch uw persoonlijke kunnen onderscheppen gegevens.

Fatale fitnessfouten

Fitness-trackers hebben gezien een ongekende stijging in populariteit 17 beste gezondheids- en fitnessgadgets om uw lichaam te verbeterenDe afgelopen jaren is de innovatie rond gezondheids- en fitnessgadgets explosief gestegen. Hier zijn slechts enkele van de geweldige onderdelen die je kunt gebruiken om je een goed gevoel te geven.

Lees verder de afgelopen jaren. Alleen al in het 4e kwartaal van 2015 steeg de omzet op jaarbasis met maar liefst 197%, van 7,1 miljoen tot 21 miljoen stuks. Marktanalisten Parks Associates schat de wereldwijde markt voor fitnesstrackers zal blijven groeien, gestegen van $ 2 miljard in 2014 naar $ 5,4 miljard in 2019. Dit zijn aanzienlijke voordelen, wat aangeeft hoeveel gebruikers zich mogelijk blootstellen aan deze voorheen onbekende aanvalsvector.

Canadese onderzoeksorganisatie zonder winstoogmerk Open effect, en interdisciplinair onderzoekslaboratorium Citizen Lab, onderzocht acht van de meest populaire fitness wearables die momenteel beschikbaar zijn: de Apple Watch, de Basis Peak, de Fitbit Charge HR, de Garmin Vivosmart, de Jawbone UP 2, de Mio Fuse, de Withings Pulse O2 en de Xiaomi Mi Band.

De gecombineerd onderzoeksrapport gezocht om de stappen te ontdekken die de technologiebedrijven nemen om uw gegevensbeveiliging te beschermen en te behouden. Terwijl we weten en begrijpen, zullen fitnesstrackers hartslag, voetstappen, calorieën en slaap verzamelen gegevens, hebben de onderzoekers onderzocht wat er met die gegevens gebeurt als ze in handen zijn van het apparaat ontwikkelaars.

Welke gegevens worden naar een externe server verzonden? Hoe beveiligen de technologiebedrijven de gegevens? Met wie wordt het gedeeld? Hoe gebruiken de bedrijven de informatie eigenlijk?

De belangrijkste bevindingen waren:

• Zeven van de acht apparaten voor het volgen van fitness zenden persistente unieke identificatiegegevens (Bluetooth Media Access Control-adres) uit kunnen hun dragers blootstellen aan het langdurig volgen van hun locatie wanneer het apparaat niet is gekoppeld en niet is verbonden met een mobiele telefoon apparaat.
• Jawbone en Withings-applicaties kunnen worden gebruikt om nep-fitnessbandrecords te maken. Dergelijke neprecords stellen de betrouwbaarheid van het datagebruik van fitnesstrackers in rechtszaken en verzekeringsprogramma's ter discussie.
• De Garmin Connect-applicaties (iPhone en Android) en Withings Health Mate (Android) applicatie beveiligingslekken hebben waardoor een onbevoegde derde partij de gebruiker kan lezen, schrijven en verwijderen gegevens.
• Garmin Connect past geen basispraktijken toe voor de beveiliging van gegevensoverdracht voor zijn iOS- of Android-toepassingen en stelt daarom fitnessinformatie bloot aan bewaking of manipulatie.

Persistent Unique Identifiers

Wearable technologie zendt een permanent Bluetooth-signaal uit. Of het nu een smartwatch of een fitnesstracker is, dit signaal wordt gebruikt om consistent met uw smartphone te communiceren. Hun communicatie met het externe apparaat is onderhouden met een MAC-adres (Media Access Control) IP- en MAC-adres: waar zijn ze goed voor?Het internet verschilt niet zo veel van de reguliere postdienst. In plaats van een huisadres hebben we IP-adressen. In plaats van namen hebben we MAC-adressen. Samen krijgen ze de gegevens bij u thuis. Hier is ... Lees verder , een unieke identificatie van de fitnesstracker.

In het kader van fitnesstrackers vereist het onderhoud van persoonlijke gegevens dat deze adressen willekeurig worden gemaakt om ervoor te zorgen dat de gebruiker niet kan worden getraceerd en geïdentificeerd door het MAC-adres. Bluetooth-bakens, die steeds vaker in winkelcentra worden gebruikt om gerichte mobiele advertenties te maken, kunnen die apparaten volgen en profileren met één MAC-adres (ze kunnen ook gebouwd door iedereen met een geschikte, compacte computer Bouw een DIY iBeacon met een Raspberry PiAdvertenties die zijn gericht op een bepaalde gebruiker die door een grootstedelijk centrum loopt, zijn het spul van dystopische toekomsten. Maar dat is helemaal geen dystopische toekomst: de technologie is er al. Lees verder ). Van de geteste apparaten heeft alleen de Apple Watch zijn MAC-adres gerandomiseerd "met een interval van ongeveer 10 minuten" om de identiteit van de gebruiker te beschermen.

Als het persistente MAC-adres is geregistreerd, kan de locatie van de gebruiker mogelijk worden gevolgd van baken tot baken. Als een winkelcentrum besluit om tijdens hun winkelbezoek informatie over de gebruikerslocatie te verzamelen, kunnen de gegevens worden verkocht aan een marketingbureau of een andere gegevensmakelaar zonder de gebruiker hiervan eerst op de hoogte te stellen. Als een enkele datamakelaar meerdere profielen kan kopen, kan informatie worden verzameld om geavanceerd te bouwen gerichte advertentieprofielen, geactiveerd elke keer dat de gebruiker (en zijn unieke apparaat-ID) de gebouw.

De apps zijn net zo slecht

Elke fitnesstracker wordt geleverd met zijn eigen monitoring-app, die de overvloed aan fitnessgerelateerde gegevens vastlegt en vertaalt in een mooie visuele weergave van de acties van de gebruiker. De apps zelf lekken echter persoonlijke informatie op meerdere transmissielocaties.

Men zou bijvoorbeeld verwachten dat elke overdracht van persoonsgegevens plaatsvindt op zijn minst versleuteld met HTTPS Wat is HTTPS en hoe kunt u standaard beveiligde verbindingen inschakelen?Veiligheidsproblemen verspreiden zich wijd en zijd en hebben de voorhoede van bijna iedereen bereikt. Termen als antivirus of firewall zijn geen vreemde woordenschat meer en worden niet alleen begrepen, maar ook gebruikt door ... Lees verder ; de Garmin Connect deed dat zelfs niet, waardoor gebruikersgegevens passief werden blootgesteld aan een potentiële afluisteraar.

Evenzo, hoewel de Bellabeat Leaf en Withings Health Mate communiceren met externe servers via HTTPS, beide Bedrijven stuurden e-mails met platte tekst naar gebruikers om hun aanmeldingsgegevens te bevestigen, waardoor gebruikers open stonden voor man-in-the-middle aanvallen. Elke aanvaller met praktische kennis van de Bellabeat- of Withings-API heeft binnen enkele minuten toegang tot een breed scala aan persoonlijke fitnessinformatie. Deze vorm van aanval kan ook worden gebruikt om kwaadaardige of valse gegevens naar de wearable of de telefoon van de gebruiker te sturen.

Data manipulatie

Drie van de waargenomen fitness-tracker-apps 'waren kwetsbaar voor een gemotiveerde gebruiker die valse gegenereerde fitnessgegevens voor hun eigen account creëerde', waardoor bedrijfsservers werden misleid om nepgegevens te accepteren. Open effect en Citizen Lab verschillende applicaties gemaakt die zijn ontworpen om de fitnesstracker-servers te misleiden om valse informatie te accepteren, met Bellabeat LEAF, Jawbone UP en Withings Health Mate op de loer.

"We hebben een verzoek naar Jawbone gestuurd waarin staat dat onze testgebruiker op één dag tien miljard stappen heeft gezet"

Hun toepassing verdeelde de staptimings gelijkmatig in vaste intervallen over een gewenst tijdsbestek, waardoor een kunstmatige verdeling van stappen werd gecreëerd. De onderzoekers concludeerden dat een meer geavanceerde benadering "willekeurig stappen zou toewijzen om een ​​meer realistisch ogende distributie tot stand te brengen" om detectie verder te ontsnappen.

Waarom is dit een probleem?

Fitness-trackers kunnen dat een continue stroom van persoonlijke gegevensverzameling onderhouden Hoeveel van uw persoonlijke gegevens kunnen slimme apparaten bijhouden?De privacy en beveiliging van smart home zijn nog steeds zo reëel als altijd. En hoewel we dol zijn op het idee van slimme technologie, is dit slechts een van de vele dingen om op te letten voordat je gaat duiken ... Lees verder . Veelvoorkomende gegevensverzamelingsvectoren zijn voetstappen, hartslag, slaappatronen, hoogte, geolocaties, kwaliteit van activiteiten en soorten activiteiten.

Sommige fitnesstrackers moedigen hun gebruikers aan om deel te nemen aan aanvullende fitness- of sociale activiteiten, zoals het specificeren van eten voor calorisch tellen en analyseren, persoonlijke stemming op specifieke momenten van de dag (ook in relatie tot activiteiten en eten) consumptie), om hun fitnessdoelen vast te leggen 10 Excel-sjablonen om uw gezondheid en conditie bij te houden Lees verder en de voortgang in de tijd volgen Volg belangrijke gebieden van uw leven in 1 minuut met Google FormulierenHet is verbazingwekkend wat je over jezelf kunt leren als je de tijd neemt om aandacht te besteden aan je dagelijkse gewoonten en gedrag. Gebruik de veelzijdige Google Formulieren om uw voortgang met belangrijke doelen bij te houden. Lees verder , of om te concurreren met andere fitnessliefhebbers in gamified sociale media-achtige dashboardomgevingen De beste sociale fitness-apps om te trainen met vrienden en familieFitness-apps voor sociale media zijn misschien wel een van de beste manieren om verantwoording af te leggen aan je vrienden, maar je moet de app vinden die het beste bij je past! Lees verder .

De problemen die door Open effect en Citizen Lab illustreer de gevaren van het vertrouwen op fitnesstrackers om betrouwbare persoonsgegevens te verstrekken in een reeks situaties. Gegevens over fitnesstracker zijn gebruikt om verzekeringspolissen te beveiligen of om vooruitgang te melden die is geboekt met medische problemen, maar we zien dat de gegevens gemakkelijk kunnen worden vervalst.

Maken deze gegevensproblemen bovendien de aard van deze technologiebedrijven voor fitnesstrackers twijfelachtig? Hoe vertalen deze slechte pogingen tot gegevensbescherming zich naar hun andere producten? Het probleem is niet alleen gebonden aan fitnesstrackers, en er moeten meer worden gedaan door zowel burgers als regelgevers om gebruikersgegevens te waarborgen is te allen tijde beschermd, opdat we niet zien dat hele industrieën worden ondermijnd door hun schijnbare gebrek aan zorg en discretie bij privé gegevens.

Wat nu?

De bevindingen van het rapport zijn duidelijk: verhoogde veiligheid op basis van de aanbevelingen van Open effect en Citizen Lab. Persoonlijke en privébeveiliging is serieus en we moeten problemen aanpakken zodra ze binnenkomen. Maar er is niet alleen verbeterde beveiliging nodig. Gebruikers van fitnesstrackers moeten begrijpen waar hun gegevens naartoe worden gestuurd, waar ze worden opgeslagen en tot welke andere partijen er toegang toe hebben.

De verantwoordelijkheid ligt bij de technologiebedrijven om volledig technisch met hun gebruikers te communiceren bewaking die ze ook hebben aanvaard, of ze het nu beseffen of niet, samen met het potentieel ervan risico's.

Is het tijd om je fitnesstracker weg te gooien? Waarschijnlijk niet, vooral als je een Apple Watch hebt Niet de Apple Watch: 9 andere iPhone-vriendelijke wearablesDe aankondiging van de Apple Watch was groot nieuws, maar het is verre van het enige draagbare apparaat dat is ontworpen voor gebruik met een iPhone. Lees verder . Ondanks gemengde reacties op de bevindingen van het technische rapport van de fabrikanten van fitnesstrackers, is het onwaarschijnlijk dat deze kwetsbaarheden lang zullen bestaan.

Of we kunnen tenminste hopen dat ze niet lang zullen bestaan.

Ben je bezorgd over je fitnesstracker? Ben je gegevens kwijtgeraakt door draagbare technologie? Wat is er gebeurd? Laat het ons hieronder weten!